@nitra/cursor 1.8.56 → 1.8.61

package/README.md

@@ -39,7 +39,7 @@
 
 - **Структура Kustomize:** спільне виноситься в **`base`**; вміст **base** відповідає тому, як має виглядати середовище **dev**; окремої директорії **`dev/`** немає — за dev відповідає **`base`**. У інших середовищах — тонкі **overlays** (часто лише **`kustomization.yaml`** і patches / оверрайди).
 - **Namespace** задається в **`kustomization.yaml`** (`namespace:`), а не через **`metadata.namespace`** у кожному ресурсі; окремі patches лише на зміну **namespace** не потрібні.
-- У **Deployment** для кожного контейнера: **`resources`**, **`imagePullPolicy: Always`** (перевіряє **`npx @nitra/cursor check k8s`**).
+- У **Deployment** для кожного контейнера: **`resources`** (перевіряє **`npx @nitra/cursor check k8s`**);
 - Рядки в **base**, які змінюються в overlays, позначайте коментарем на рядку (узгоджено в команді), наприклад: `# буде замінено через kustomize`.
 - Після перенесення в **`base`** / overlays **видаляйте** застарілі маніфести та каталоги, які більше не потрібні.
 

package/mdc/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.23'
+version: '1.24'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -104,7 +104,18 @@ resources: {}
 
 Так маніфест явно резервує місце під **`requests` / `limits`** і уникає випадкового пропуску секції. **`check k8s`** перевіряє це для кожного YAML-документа **`Deployment`** у файлах під **`k8s`**.
 
-У кожному контейнері **`Deployment`** має бути **`imagePullPolicy: Always`** (див. **`check k8s`**).
+**`imagePullPolicy`:** у маніфестах не вимагається; Kubernetes за замовчуванням: образ **без тега** або з **`:latest`** → **Always**, з іншим тегом → **IfNotPresent**. **`check k8s`** це поле не перевіряє.
+
+Якщо в **`Deployment`** у **`spec.template.spec.containers`** або **`initContainers`** задано образ **`hasura/graphql-engine`**, у полі **`image`** має бути саме **`hasura/graphql-engine:v2.48.15.ubi.amd64`** (для еквівалента Docker Hub допускається префікс **`docker.io/`**). Інші теги або сторонні реєстри з тим самим репозиторієм **`hasura/graphql-engine`** — порушення **`check k8s`**.
+
+## Service: заборонені анотації GKE
+
+У **`kind: Service`** не використовуй у **`metadata.annotations`** ключі:
+
+- **`cloud.google.com/neg`**
+- **`cloud.google.com/backend-config`**
+
+Вони потрібні для інтеграції з **Ingress** / класичним балансуванням GKE; після переходу на **Gateway API** їх слід **прибрати** з маніфестів. **`check k8s`** завершиться помилкою, якщо хоча б один із цих ключів присутній.
 
 ## Kustomize: структура каталогів (`base` / overlays)
 
@@ -165,27 +176,23 @@ resources: {}
 
 ## Перевірка
 
-**`npx @nitra/cursor check k8s`** — критерії збігаються з розділом **«Що закодовано в `check-k8s.mjs`»** і з **«Визначення схеми YAML»** вище. Якщо під `k8s` немає `*.yaml` — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
+**`npx @nitra/cursor check k8s`** — деталі умов у **JSDoc на початку** **`npm/scripts/check-k8s.mjs`**; канон URL **`$schema`** для редактору — розділ **«Визначення схеми YAML»** нижче. Якщо під `k8s` немає `*.yaml` — перевірку пропущено. Решту політик кластера / compliance закриває **`lint-k8s`**.
 
 Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape).
 
 ## Що закодовано в `check-k8s.mjs`
 
-При зміні правил синхронно оновлюй **`YANNH_PIN`**, **`YANNH_REF`** (якщо зміниться гілка за замовчуванням у репо yannh), **`YANNH_GROUPS`**, **`DATREE_CRD_BASE`** (GitHub Pages каталогу CRD), а в **`run-k8s.mjs`** — константу **`KUBERNETES_VERSION`** і **`DATREE_CRD_SCHEMA_LOCATION`** (узгоджено з базою datree у цьому правилі).
+Не дублюй тут повний перелік — він у **верхньому JSDoc** **`npm/scripts/check-k8s.mjs`** і в константах (**`YANNH_PIN`**, **`YANNH_GROUPS`**, **`EXPLICIT_K8S_SCHEMAS`**, **`CLUSTER_SCOPED_KINDS`**, **`HASURA_GRAPHQL_ENGINE_IMAGE`** тощо).
+
+Коротко: **`$schema`** (один modeline, без **`.yml`** під **`k8s`**), заборона **Ingress**, **Deployment.resources**, пін **hasura/graphql-engine**, **Service** без анотацій NEG/backend-config, **`metadata.namespace`** залежно від **base** і графа Kustomize, заборона **`…/k8s/dev/…`**, непорожній **`namespace:`** у **`k8s/base/kustomization.yaml`**, видалення файлів, де всі документи — лише **BackendConfig** (змішані файли — помилка).
 
-- Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next`.
-- **`file:`** у `$schema` — URL до apiVersion/kind не звіряється; **`https:`** — kustomization за іменем файлу → Schema Store; далі перевіряється **`EXPLICIT_K8S_SCHEMAS`** (`Map`: `apiVersion` + `kind` + `type`, для записів без `type` у маніфесті — третій компонент **`*`**); потім `v1` → yannh; група з `YANNH_GROUPS` → yannh; інакше → datree (GitHub Pages), крім рядків явної таблиці (наприклад **InfisicalSecret** — raw на `main`).
-- У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**); у кожного контейнера — **`imagePullPolicy: Always`**.
-- **Namespace у маніфестах (не ім’я `kustomization`):** ресурсні YAML у **`…/k8s/base/`** — **завжди** непорожній **`metadata.namespace`**. Інакше будується множина шляхів, досяжних з **`kustomization.yaml`** через **`resources`**, **`bases`**, **`components`**, **`crds`**, **`patches[].path`**, **`patchesStrategicMerge`**, з рекурсією в каталоги з дочірнім **`kustomization.yaml`**: для таких файлів **поза** **`k8s/base`** — **заборона** **`metadata.namespace`**; для файлів поза **`k8s/base`** і поза множиною — **вимога** непорожнього **`metadata.namespace`** (крім **`CLUSTER_SCOPED_KINDS`**).
-- Документи з **`kind: Ingress`** — заборонені (потрібен перехід на Gateway API, див. розділ **Ingress → Gateway API**).
-- Заборона шляхів **`…/k8s/dev/…`** (окремої директорії **`dev`** під **`k8s`** не має бути).
-- Якщо в дереві є **`k8s/base/kustomization.yaml`**, у першому документі **завжди** має бути непорожнє поле **`namespace`** (типово **`dev`**; див. розділ **Namespace**).
+При зміні **PIN** версії Kubernetes оновлюй узгоджено **`check-k8s.mjs`**, **`run-k8s.mjs`** (**`KUBERNETES_VERSION`**, **`DATREE_CRD_SCHEMA_LOCATION`**) і розділи **lint-k8s** / **Визначення схеми YAML** у цьому файлі (**`YANNH_REF`**, **`YANNH_GROUPS`**, **`DATREE_CRD_BASE`** — за потреби в скрипті).
 
 ## Коли застосовувати (агентам)
 
 - Зміни в k8s YAML — після правок **`check k8s`**.
 - Якщо перший рядок уже коректний і URL відповідає `apiVersion` / `kind` — не дублюй; змінився ресурс — онови лише `$schema`.
-- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**); додай **`imagePullPolicy: Always`** для кожного контейнера.
+- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**). **`imagePullPolicy`** за потреби не дублюй — достатньо політики Kubernetes за тегом образу.
 - Дотримуйся структури **Kustomize** (`base` = dev, overlays без дублювання `base`, коментарі для рядків, що змінюються в overlay). У **`base/kustomization.yaml`** завжди задавай непорожній **`namespace:`**. У **`k8s/base`** у кожному ресурсному YAML має бути явний **`metadata.namespace`**. Поза **base**, якщо не хочеш **`metadata.namespace`** у файлі — підключи його до kustomization (**`resources`** / **`patches`** тощо); інакше додай явний **`metadata.namespace`**.
 - Після міграції на нову структуру **видали** застарілі файли та каталоги, які вже замінені (див. **Міграція зі старої структури**).
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.56",
+  "version": "1.8.61",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-k8s.mjs

@@ -7,7 +7,10 @@
  *
  * Додатково: у кожному YAML-документі з **`kind: Deployment`** у кожного контейнера
  * **`spec.template.spec.containers[]`** має бути ключ **`resources`** (значення — об'єкт, допускається
- * порожній **`{}`**) та **`imagePullPolicy: Always`**.
+ * порожній **`{}`**). Поле **`imagePullPolicy`** не перевіряється — діють типові правила Kubernetes
+ * (`:latest` або без тега → **Always**, інші теги → **IfNotPresent**). Якщо серед **`containers`** /
+ * **`initContainers`** є образ **`hasura/graphql-engine`**, дозволено лише пін **`HASURA_GRAPHQL_ENGINE_IMAGE`**
+ * (див. k8s.mdc).
  *
  * **Namespace і Kustomize:** YAML у **`…/k8s/base/`** (окрім імені **`kustomization.yaml`**)
  * завжди має **непорожній** **`metadata.namespace`** у відповідних документах (узгоджено з dev у репозиторії),
@@ -18,6 +21,12 @@
  *
  * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API).
  *
+ * Файли під **`k8s`**, де всі YAML-документи — лише **`kind: BackendConfig`**, **видаляються** автоматично.
+ * Якщо **BackendConfig** змішано з іншими ресурсами в одному файлі — перевірка завершується помилкою (розділи маніфести).
+ *
+ * У **`kind: Service`** у **`metadata.annotations`** не повинно бути ключів **`cloud.google.com/neg`**
+ * та **`cloud.google.com/backend-config`** (див. k8s.mdc).
+ *
  * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
  * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
  *
@@ -27,7 +36,7 @@
  * Dockerfile — правило docker.mdc, скрипт check-docker.mjs.
  */
 import { existsSync } from 'node:fs'
-import { readFile, stat } from 'node:fs/promises'
+import { readFile, stat, unlink } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
@@ -38,6 +47,27 @@ import { walkDir } from './utils/walkDir.mjs'
 /** Версія набору схем yannh — узгоджено з k8s.mdc */
 const YANNH_PIN = 'v1.33.9-standalone-strict'
 
+/**
+ * Дозволений образ **hasura/graphql-engine** у Deployment (узгоджено з k8s.mdc).
+ * Еквівалент **`docker.io/…`** також приймається.
+ */
+export const HASURA_GRAPHQL_ENGINE_IMAGE = 'hasura/graphql-engine:v2.48.15.ubi.amd64'
+
+/** Набір прийнятних рядків `image` без digest (`@sha256:…`). */
+const HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES = new Set([
+  HASURA_GRAPHQL_ENGINE_IMAGE,
+  `docker.io/${HASURA_GRAPHQL_ENGINE_IMAGE}`
+])
+
+/**
+ * Ключі анотацій GKE (NEG / BackendConfig) у **Service** — заборонені (узгоджено з k8s.mdc).
+ * @type {readonly string[]}
+ */
+export const SERVICE_FORBIDDEN_GCP_ANNOTATION_KEYS = Object.freeze([
+  'cloud.google.com/neg',
+  'cloud.google.com/backend-config'
+])
+
 /** Гілка репозиторію yannh/kubernetes-json-schema для raw.githubusercontent.com (каталог набору в URL одразу після ref). */
 const YANNH_REF = 'master'
 
@@ -395,6 +425,90 @@ async function findK8sYamlFiles(root) {
   return [...out].sort((a, b) => a.localeCompare(b))
 }
 
+/**
+ * Тіло YAML для політик (Ingress, BackendConfig тощо): якщо перший рядок — modeline `$schema`, береться вміст після нього.
+ * @param {string[]} lines рядки файлу
+ * @returns {string} фрагмент для `parseAllDocuments`
+ */
+function k8sYamlBodyForDocumentParse(lines) {
+  if (lines.length > 0 && MODELINE_RE.test(lines[0])) {
+    return yamlBodyAfterModeline(lines)
+  }
+  return lines.join('\n')
+}
+
+/**
+ * Чи всі нетривіальні документи у тілі — **`kind: BackendConfig`**, чи є змішування з іншими kind.
+ *
+ * @param {string} body YAML без обов’язкового modeline (див. `k8sYamlBodyForDocumentParse`)
+ * @returns {'none' | 'only' | 'mixed' | 'unparsed'} unparsed — не вдалося розпарсити YAML
+ */
+export function classifyBackendConfigManifestPresence(body) {
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(body)
+  } catch {
+    return 'unparsed'
+  }
+
+  let hasBc = false
+  let hasOther = false
+  for (const doc of docs) {
+    if (doc.errors.length === 0) {
+      const obj = doc.toJSON()
+      if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+        const kind = obj.kind
+        if (kind === 'BackendConfig') {
+          hasBc = true
+        } else if (kind !== undefined && kind !== null && String(kind).trim() !== '') {
+          hasOther = true
+        }
+      }
+    }
+  }
+
+  if (!hasBc) return 'none'
+  if (hasOther) return 'mixed'
+  return 'only'
+}
+
+/**
+ * Видаляє під **`k8s`** YAML-файли, що містять **лише** ресурси **BackendConfig**; змішані файли — `fail`.
+ *
+ * @param {string} root корінь репозиторію
+ * @param {(msg: string) => void} fail реєстрація порушення
+ * @param {(msg: string) => void} pass реєстрація успіху
+ * @returns {Promise<void>}
+ */
+async function removeBackendConfigOnlyK8sYamlFiles(root, fail, pass) {
+  const yamlFiles = await findK8sYamlFiles(root)
+  for (const abs of yamlFiles) {
+    const rel = (relative(root, abs) || abs).replaceAll('\\', '/')
+    try {
+      const raw = await readFile(abs, 'utf8')
+      const lines = toLines(raw)
+      const body = k8sYamlBodyForDocumentParse(lines)
+      const bcPresence = classifyBackendConfigManifestPresence(body)
+
+      if (bcPresence === 'mixed') {
+        fail(
+          `${rel}: у файлі разом BackendConfig та інші kind — винеси BackendConfig окремо або прибери вручну; автоматичне видалення не застосовується (див. k8s.mdc)`
+        )
+      } else if (bcPresence === 'only') {
+        try {
+          await unlink(abs)
+          pass(`${rel}: видалено (лише kind: BackendConfig; див. k8s.mdc)`)
+        } catch (error) {
+          fail(`${rel}: не вдалося видалити BackendConfig-файл (${error.message})`)
+        }
+      }
+    } catch (error) {
+      fail(`${rel}: не вдалося прочитати для перевірки BackendConfig (${error.message})`)
+    }
+  }
+}
+
 /**
  * Прибирає BOM і ділить на рядки.
  * @param {string} content вміст файлу
@@ -535,11 +649,58 @@ export function deploymentResourcesViolation(manifest) {
 }
 
 /**
- * Чи контейнери **Deployment** мають **`imagePullPolicy: Always`** (k8s.mdc).
+ * Прибирає digest з посилання на образ (`@sha256:…`) для порівняння тега.
+ * @param {string} image значення поля `image`
+ * @returns {string} той самий рядок без суфікса `@…` (digest), з `.trim()`
+ */
+function stripImageDigest(image) {
+  const at = image.indexOf('@')
+  return (at === -1 ? image : image.slice(0, at)).trim()
+}
+
+/**
+ * Чи рядок `image` вказує на репозиторій **hasura/graphql-engine** (будь-який тег / без тега).
+ * @param {string} image значення поля `image`
+ * @returns {boolean} true, якщо шлях образу закінчується на `hasura/graphql-engine` з тегом або без
+ */
+function isHasuraGraphqlEngineImageRef(image) {
+  const s = stripImageDigest(image)
+  return /(^|\/)hasura\/graphql-engine(?:[:]|$)/u.test(s)
+}
+
+/**
+ * Перевіряє пін образу Hasura у одному списку контейнерів Pod spec.
+ * @param {string} list ім’я поля для повідомлення (`containers` / `initContainers`)
+ * @param {unknown} containers значення з маніфесту
+ * @returns {string | null} текст порушення або null
+ */
+function hasuraGraphqlEngineViolationInContainerList(list, containers) {
+  if (!Array.isArray(containers)) return null
+  for (const [i, c] of containers.entries()) {
+    const label =
+      typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
+        ? c.name
+        : `#${i + 1}`
+    if (c !== null && c !== undefined && typeof c === 'object' && !Array.isArray(c)) {
+      const cont = /** @type {Record<string, unknown>} */ (c)
+      const image = cont.image
+      if (typeof image === 'string' && image.trim() !== '' && isHasuraGraphqlEngineImageRef(image)) {
+        const normalized = stripImageDigest(image)
+        if (!HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES.has(normalized)) {
+          return `${list} "${label}": образ hasura/graphql-engine має бути ${HASURA_GRAPHQL_ENGINE_IMAGE} (зараз: ${image}) (див. k8s.mdc)`
+        }
+      }
+    }
+  }
+  return null
+}
+
+/**
+ * Чи порушує **Deployment** вимогу пінованого образу **hasura/graphql-engine** (k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа
- * @returns {string | null} текст порушення або null, якщо не Deployment / ок
+ * @returns {string | null} текст порушення або null, якщо не Deployment / образу немає / ок
  */
-export function deploymentImagePullPolicyViolation(manifest) {
+export function deploymentHasuraGraphqlEngineImageViolation(manifest) {
   if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
     return null
   const rec = /** @type {Record<string, unknown>} */ (manifest)
@@ -549,25 +710,41 @@ export function deploymentImagePullPolicyViolation(manifest) {
   const template = /** @type {Record<string, unknown>} */ (spec).template
   if (template === null || template === undefined || typeof template !== 'object' || Array.isArray(template))
     return null
-  const podSpec = /** @type {Record<string, unknown>} */ (template).spec
-  if (podSpec === null || podSpec === undefined || typeof podSpec !== 'object' || Array.isArray(podSpec)) return null
-  const containers = /** @type {Record<string, unknown>} */ (podSpec).containers
-  if (!Array.isArray(containers)) return null
+  const podSpecRaw = /** @type {Record<string, unknown>} */ (template).spec
+  if (podSpecRaw === null || podSpecRaw === undefined || typeof podSpecRaw !== 'object' || Array.isArray(podSpecRaw))
+    return null
+  const podSpec = /** @type {Record<string, unknown>} */ (podSpecRaw)
 
-  for (const [i, c] of containers.entries()) {
-    const label =
-      typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
-        ? c.name
-        : `#${i + 1}`
-    if (c !== null && c !== undefined && typeof c === 'object' && !Array.isArray(c)) {
-      const cont = /** @type {Record<string, unknown>} */ (c)
-      if (cont.imagePullPolicy !== 'Always') {
-        return `контейнер "${label}": imagePullPolicy має бути Always (див. k8s.mdc)`
-      }
+  const main = hasuraGraphqlEngineViolationInContainerList('containers', podSpec.containers)
+  if (main !== null) return main
+  return hasuraGraphqlEngineViolationInContainerList('initContainers', podSpec.initContainers)
+}
+
+/**
+ * Чи **Service** містить заборонені анотації GKE у **`metadata.annotations`** (k8s.mdc).
+ * @param {unknown} manifest корінь YAML-документа
+ * @returns {string | null} текст порушення або null, якщо не Service / анотацій немає / ок
+ */
+export function serviceForbiddenGcpAnnotationsViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  if (rec.kind !== 'Service') return null
+  const meta = rec.metadata
+  if (meta === null || meta === undefined || typeof meta !== 'object' || Array.isArray(meta)) return null
+  const m = /** @type {Record<string, unknown>} */ (meta)
+  const ann = m.annotations
+  if (ann === null || ann === undefined || typeof ann !== 'object' || Array.isArray(ann)) return null
+  const a = /** @type {Record<string, unknown>} */ (ann)
+  /** @type {string[]} */
+  const found = []
+  for (const key of SERVICE_FORBIDDEN_GCP_ANNOTATION_KEYS) {
+    if (Object.hasOwn(a, key)) {
+      found.push(key)
     }
   }
-
-  return null
+  if (found.length === 0) return null
+  return `metadata.annotations: прибери заборонені ключі GKE: ${found.join(', ')} (див. k8s.mdc)`
 }
 
 /**
@@ -638,7 +815,8 @@ export function isK8sBaseManifestYamlPath(rel, baseLower) {
 }
 
 /**
- * Парсить усі YAML-документи: **metadata.namespace**, **Deployment.resources**, **imagePullPolicy**.
+ * Парсить усі YAML-документи: **metadata.namespace**, **Deployment.resources**, **Hasura image pin**,
+ * **Service — заборонені GKE-анотації**.
  * @param {string} rel відносний шлях
  * @param {string} baseLower basename файлу (нижній регістр)
  * @param {string} body вміст після modeline
@@ -686,9 +864,13 @@ function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail, kustomizeMan
       if (resV !== null) {
         fail(`${rel}: Deployment (документ ${di + 1}): ${resV}`)
       }
-      const pullV = deploymentImagePullPolicyViolation(obj)
-      if (pullV !== null) {
-        fail(`${rel}: Deployment (документ ${di + 1}): ${pullV}`)
+      const hasuraV = deploymentHasuraGraphqlEngineImageViolation(obj)
+      if (hasuraV !== null) {
+        fail(`${rel}: Deployment (документ ${di + 1}): ${hasuraV}`)
+      }
+      const svcGcpV = serviceForbiddenGcpAnnotationsViolation(obj)
+      if (svcGcpV !== null) {
+        fail(`${rel}: Service (документ ${di + 1}): ${svcGcpV}`)
       }
     }
   }
@@ -909,6 +1091,9 @@ export async function check() {
   }
 
   const root = process.cwd()
+
+  await removeBackendConfigOnlyK8sYamlFiles(root, fail, pass)
+
   const yamlFiles = await findK8sYamlFiles(root)
 
   if (yamlFiles.length === 0) {

package/skills/abie-kustomize/SKILL.md

@@ -21,6 +21,4 @@ README має бути в директорії **k8s**.
 
 Застарілі файли прибирай.
 
-У всіх Deployment має бути `imagePullPolicy: Always`.
-
 Для overlays **ru** та **ua** `namespace` задавай у `kustomization.yaml` (без окремих patch лише на зміну namespace). Деталі — **n-k8s** / **abie** у `.cursor/rules/`, якщо ці правила увімкнені в проєкті.